Direkt zum Hauptinhalt
+49 (0) 800 18 33 165Kostenlos testen
Lock graphic representing Splashtop secure solutions
Sicherheit

Diskussion mit Jerry Hsieh über Sicherheit, Ransomware und darüber, worüber Sicherheitsteams nachdenken sollten

10 Minute gelesen
Kostenlose Testversion jetzt starten
Kostenlos testen
Abonnieren
NewsletterRSS-Feed
Teilen

Von Michelle Burrows, CMO, Splashtop

Jerry Hsieh stand in den über zwanzig Jahren seiner Karriere an vorderster Front der IT-Risikobewertung und -Sicherheit, zuletzt als Senior Director of Security and Compliance bei Splashtop, wo er in den letzten zehn Jahren verschiedene IT- und Sicherheitsfunktionen innehatte. Vor nicht allzu langer Zeit sprach er mit Michelle Burrows, CMO von Splashtop, darüber, was sein frühes Interesse an Sicherheit geweckt hat und wie er über die Sicherheit von Systemen denkt, insbesondere angesichts der Zunahme vielbeachteter Sicherheitsverletzungen in den letzten Monaten.

Michelle Burrows: Jerry, danke, dass du zu uns gekommen bist. Sicherheit war in letzter Zeit überall in den Nachrichten, aber in der Vergangenheit war es eher ein nachträglicher Gedanke. Wie hast du dich zum ersten Mal für Sicherheit interessiert?

Jerry Hsieh: Du hast genau recht — ich habe mich lange auf Sicherheit konzentriert und vor vielen Jahren haben Unternehmen dazu tendiert, nicht viel über Sicherheit nachzudenken. Ich hatte 2003 ein alarmierendes Erlebnis, das letztendlich mein Interesse an Sicherheit und Risikobewertung gefestigt hat.

Michelle Burrows: Das klingt bedrohlich, bitte erzähle mir mehr.

Jerry Hsieh: Das Unternehmen, für das ich gearbeitet habe, war eines der Opfer eines SMTP-DDoS-Angriffs, der letztendlich dazu führte, dass Unternehmens-E-Mail-Dienste lahmgelegt wurden, darunter große Unternehmen und das, mit dem ich zu der Zeit zusammen war. Ich erinnere mich so genau an den Zeitpunkt, weil er mit meiner Hochzeit zusammenfiel und der Grund dafür war, dass ich mich nicht wirklich amüsieren konnte wegen dem, was im Büro vor sich ging.

Es hat mir auch aus erster Hand gezeigt, wie sich so etwas auswirkt. Wir hatten mit einem Unternehmen zusammengearbeitet, das E-Mail-Filterung durchführte, um Unternehmen wie meine und andere vor einem Angriff wie diesem zu schützen, und am Ende wurden sie aufgrund dieses Angriffs geschlossen.

Ich habe auch einen weiteren Vorfall aus erster Hand gesehen, der sich ereignete, als eine Produktdatei als Virus eingestuft wurde, nachdem der AV-Anbieter die Definition aktualisiert hatte. Die IT und das Technikteam verbrachten unzählige Nächte damit, wach zu bleiben und zu versuchen, den Vorfall zu lösen, da jedes einzelne System betroffen war und wir eine Menge Arbeit vor uns hatten, um Dateien zu bereinigen, mit unserem Antiviren-Anbieter zusammenzuarbeiten und die Definitionen dessen zu korrigieren, was als Angriff definiert wurde.

Michelle Burrows: Wow, ich schätze, deine Hochzeit zu unterbrechen, wäre eine einprägsame Methode, um herauszufinden, was du im Sicherheitsbereich nicht tun solltest. Erzähl mir von anderen frühen Erfahrungen, die du mit Sicherheit gemacht hast.

Jerry Hsieh: Ich habe bei einem anderen Unternehmen in der Halbleiterindustrie als Sicherheitsingenieur gearbeitet. Zu dieser Zeit haben wir an der Sicherheit gearbeitet, hauptsächlich um Patentverletzungen zu verhindern. Das Unternehmen stellte eine Menge Sicherheitspersonal ein, da wir günstiger waren als ein Raum voller Anwälte. Aufgrund dieser Erfahrung betrachte ich Sicherheit als eine Möglichkeit, das geistige Eigentum eines Unternehmens zu schützen.

Michelle Burrows: Im Moment scheint es, als ob wir fast täglich von einer Sicherheitsverletzung oder einem Ransomware-Angriff hören. Was können Unternehmen tun, um sich zu schützen?

Jerry Hsieh: Ich werde danach gefragt und denke viel darüber nach. Meiner Meinung nach ist das schwächste Glied normalerweise der Endnutzer. Die meisten Sicherheitslücken werden durch einen einfachen Fehler verursacht — ein Mitarbeiter klickt auf einen schädlichen Link, speichert eine schädliche Datei, verwendet ein schwaches Passwort oder leitet etwas weiter. Ein einzelner Benutzer kann dann das gesamte System kompromittieren.

Michelle Burrows: Es ist ziemlich interessant, dass ein Mitarbeiter versehentlich viel Schaden anrichten kann. Ich denke, viele Leute denken, dass sie für einen solchen Vorfall nicht anfällig sein werden, weil sie eine Firewall haben. Kannst du das kommentieren?

Jerry Hsieh: Eine Firewall gibt den Leuten oft ein falsches Sicherheitsgefühl. Ich werde jemanden sagen hören: „Ich werde keinem Angriff zum Opfer fallen, weil ich eine Firewall habe.“ Was sie nicht berücksichtigen, ist, dass du zwar alle Arten von Schutz rund um dein Netzwerk einrichten kannst, aber eine deiner größten Bedrohungen tatsächlich intern sein kann. Eine Firewall löst deine Sicherheitsprobleme nicht, besonders wenn Hacker immer kreativer werden, um Mitarbeiter dazu zu verleiten, auf etwas zu klicken, um in dein System zu gelangen.

Michelle Burrows: Wenn eine Firewall nicht die einzige Antwort auf Sicherheitslücken ist, was empfiehlst du?

Jerry Hsieh: Ich empfehle drei Bereiche, auf die du achten solltest:

  1. Schulung von Endbenutzern/Sensibilisierung — Für mich ist dies einer der wichtigsten Punkte, auf den ich mich konzentrieren sollte, und seit ich Splashtop angefangen habe, erinnere ich ständig an Sicherheitsrisiken. Ich stelle sicher, dass jeder die Botschaft sieht und alle Mitarbeiter wissen, wie wichtig es ist, wachsam zu sein. Es hilft, dass unser CEO, Mark Lee, weitere Nachrichten an unser Unternehmen sendet, in denen betont wird, wie wichtig Sicherheit ist und dass jeder dafür verantwortlich ist. Wenn die Leute wissen, dass es etwas ist, das für den CEO wichtig ist, neigen sie dazu, mehr Aufmerksamkeit zu schenken.

  2. Sicherheitsrichtlinien — Viele Unternehmen haben Sicherheitsrichtlinien, aber sie sollten über Praktiken verfügen, um diese ständig zu überwachen und zu testen. Eine Richtlinie zu haben ist ein guter erster Schritt, aber sie durchzusetzen ist noch wichtiger.

  3. Kontinuierliche Penetrationstests — Kontinuierliche Integration und kontinuierliche Bereitstellung/Bereitstellung (CI/CD) wurden von vielen Unternehmen eingeführt. Es ist wichtig, dein Netzwerk und deine Anwendungen ständig zu „testen“, um zu sehen, ob während des Software Development Lifecycle (SDLC) Sicherheitslücken entstehen.

Michelle Burrows: Ich bin mir sicher, wenn du den Leuten erzählst, womit du deinen Lebensunterhalt verbringst, haben manche vielleicht das Gefühl, dass sie ihre eigene schlechte Praxis „gestehen“ müssen. Welche fragwürdige Praxis bereitet dir am meisten Innehalten oder Sorgen?

Jerry Hsieh: Normalerweise lasse ich mir von niemandem erzählen, was er tut, was vielleicht eine bewährte Methode ist oder auch nicht. Ich habe festgestellt, dass die meisten Menschen nicht wissen, was Cybersicherheit in der Praxis ist. Sie sehen es im Fernsehen oder in einem Film und sehen, wie ein „Bösewicht“ mit einem einzigen Befehl ein ganzes System lahmlegt. Und dann denken sie vielleicht auch, dass sie aufgrund ihrer Firewall davor sicher sind. Was sie nicht verstehen, ist, dass der „Bösewicht“ ein einzelner Nutzer in deinem Unternehmen sein könnte. Wenige Datenschutzverletzungen werden durch abtrünnige Mitarbeiter verursacht. Was Unternehmen wirklich anwenden müssen, ist die Philosophie „Vertraue niemandem“. „Vertraue niemandem“ ist eines der wichtigsten Zero-Trust-Access-Prinzipien (ZTA), das sich meiner Meinung nach immer mehr durchgesetzt hat.

Das andere Missverständnis, das manche Leute über Cybersicherheit haben, ist, dass du sie „beenden“ kannst. Cybersicherheit ist etwas, das nie „erledigt“ wird und es gibt immer Verbesserungspotenzial.

Michelle Burrows: Im Moment wird viel Wert auf Sicherheit gelegt — vom CEO über Investoren bis hin zu Aufsichtsräten. Worüber sollten sich Unternehmen am meisten Sorgen machen?

Jerry Hsieh: Unternehmen müssen sich über eine Reihe von Bereichen Gedanken machen.

  1. Sie müssen eine gründliche und ehrliche Risikobewertung durchführen. Wenn dein Unternehmen angegriffen wird, schadet das deiner Marke und untergräbt das Vertrauen deiner Kunden, Mitarbeiter und sogar deines Vorstands. Du musst dein Risiko regelmäßig bewerten.

  2. Überwache jede Software, jeden Dienstanbieter und jede Hardware in deinem Netzwerk. Viele Abteilungen wetteifern häufig um die Zeit der IT und möchten die „neuesten und besten“ Tools für alles anbieten, von Kundenbefragungen bis hin zu Marketing und von agiler Entwicklung bis hin zur Kostenverfolgung. Aber jeder Anbieter, jede Software oder Hardware könnte anfällig für einen Angriff sein. Du musst deine Sicherheitslücken ständig überwachen und sicherstellen, dass die Mitarbeiter ihre Software aktualisieren und/oder das IT-Team proaktiv Patches vornehmen lassen, indem du proaktiv Updates verschickst.

  3. Recherchiere. Mittlerweile gibt es Millionen von Produkten und es ist eine nie endende Aufgabe, mit ihnen und den Fehlern, die sie in dein System bringen könnten, Schritt zu halten. Dein Sicherheitsteam muss Sicherheitslücken ständig überwachen und untersuchen.

  4. Wisse, dass sich der Angriffsvektor geändert hat. Hacker sind im Laufe der Jahre viel intelligenter geworden und haben ihre Angriffsmethoden geändert. Eine gefährliche E-Mail mag vor ein paar Jahren offensichtlich gewesen sein, aber jetzt sind diese E-Mails personalisiert, um die Wahrscheinlichkeit zu erhöhen, dass jemand klickt. Du musst deine Mitarbeiter ständig testen, damit Sicherheit immer oberste Priorität hat.

Michelle Burrows:Vor Kurzem gab es eine Ankündigung, dass VPNs ein Gateway für einen Angriff sind. Warum sind deiner Meinung nach VPNs (Virtual Private Networks) besonders anfällig?

Jerry Hsieh: Ja, VPNs waren in letzter Zeit viel häufiger ein Einfallstor für Systemangriffe.
Meiner Meinung nach werden VPNs aus mehreren Gründen häufiger für Ransomware-Angriffe verwendet:

  1. VPN ist eine alte Technologie und wurde in den späten Neunzigern eingeführt. Wenn es eine bestimmte Technologie schon so lange gibt, ist es wahrscheinlicher, dass es einen Konstruktionsfehler oder einen herstellerspezifischen kritischen Softwarefehler gibt, da wir damals nicht alles wussten, was wir heute verstehen. Zum Beispiel habe ich 1999 mein erstes VPN eingerichtet und mich dabei ausschließlich auf Befehle verlassen und einigermaßen benutzerfreundliche Benutzeroberflächen (UIs) verwendet. Ich denke an diese Erfahrung zurück und es hat sich nicht viel geändert und eine Fehlkonfiguration durch jemanden ist sehr wahrscheinlich.

  2. Ein VPN hängt davon ab, dass deine IT-Abteilung es richtig konfiguriert. Ich sehe oft, dass VPNs ausgenutzt werden, weil es keine Standardmethode für die Einrichtung, den Betrieb und die Verteilung von Zugriffen gibt. Jede IT-Abteilung wird es so konfigurieren, dass es für sie Sinn macht, und das birgt Risiken.

  3. Heimcomputer werden mit einem VPN verwendet. Wenn ein Mitarbeiter von zu Hause aus arbeitet und auf der Arbeit Zugriff auf Dateien benötigt, gibt es keine einfache Möglichkeit, den Mitarbeiter daran zu hindern, ein vom Unternehmen ausgestelltes System zu verwenden, um einen VPN-Zugang einzurichten. Es gibt Tools, die dabei helfen, aber sie sind in der Regel sehr teuer und ressourcenintensiv.

  4. Du kannst den oben genannten Punkt mit einer Richtlinie abschwächen, die deine Mitarbeiter anweist, dass sie nur ihren Arbeitscomputer für den Zugriff auf das VPN verwenden dürfen. Das führt dann zu einem weiteren Risikobereich — öffentliche Netzwerke. Wenn jemand auf Reisen ist und sich über ein VPN über ein öffentlich zugängliches Netzwerk verbindet, ist er von Natur aus anfällig für Angriffe.

Michelle Burrows: Welche Alternativen können Unternehmen anstelle eines VPN einsetzen? Hat diese Alternative irgendwelche Nachteile?

Jerry Hsieh: Ich weiß, das klingt sehr eigennützig, aber die beste Alternative ist die Nutzung einer Fernzugriffslösung. Und ja, das schließt Splashtop ein. Splashtop hilft dabei, die mit VPNs verbundenen Risiken zu mindern, da du damit nur deinen Desktop streamen kannst. Das bedeutet, dass die Daten in deinem Unternehmensnetzwerk geschützt sind, da du die Daten einfach einsehen kannst. Alle Daten befinden sich immer noch in deinem Unternehmensnetzwerk.

Im Gegensatz dazu kann ich, wenn ich ein VPN verwende, damit beginnen, alles herunterzuladen, was ich will, was bedeutet, dass Hacker dasselbe tun können. Wenn ich ein Tool wie Splashtop verwende, kann ich die Datei ansehen und bedienen oder verwenden, aber ich kann sie nicht herunterladen. Ich kann es so konfigurieren, dass nur lokale Computer darauf zugreifen können.

Da wir gerade über Sicherheit sprechen, bietet Splashtop außerdem viele andere Sicherheitsfunktionen wie Geräteauthentifizierung, Zwei-Faktor-Authentifizierung (2FA), Single Sign-On (SSO) und mehr. All diese zusätzlichen Sicherheitsfunktionen sind Dinge, die ein VPN nicht bieten kann.

Du hast nach den Nachteilen der Fernzugriffstechnologie gefragt. Der einzige Nachteil ist, dass es eine Lernkurve gibt, wenn die Leute Fernzugriffslösungen einführen. Aber da Splashtop ursprünglich für den Verbrauchermarkt konzipiert wurde, ist die Zeit, die benötigt wird, um es zu erlernen, minimal. Und mit minimal meine ich innerhalb weniger Minuten für den durchschnittlichen Nutzer.

Michelle Burrows:Erzähl mir mehr über einVPN im Vergleich zu Splashtop?

Jerry Hsieh: Manchmal höre ich, dass ein Unterschied eine feste Investition sein könnte im Vergleich zu dem Abonnementmodell, das Splashtop anbietet, wenn du die Preise von VPN und Splashtop vergleichst. Ein VPN ist eine langfristige Investition, die manche Leute einmal tätigen können. Aber sie vergessen, dass VPN-Gateways oft ausfallen und die Investition in ein Backup-Gateway teuer ist. Außerdem erfordert ein VPN Wartung — für Sicherheitslücken und Patch-Upgrades. Splashtop übernimmt die Wartungs- und Sicherheitsarbeiten. Splashtop ist wartungsfrei und vierundzwanzig Stunden am Tag, sieben Tage die Woche verfügbar.

Michelle Burrows:Was machst du zum Spaß, wenn du nicht gerade von Sicherheit besessen bist?

Jerry Hsieh: Wie du wahrscheinlich bemerkt hast, habe ich nicht viele Ausfallzeiten. Wenn ich Freizeit habe, spiele ich gerne Golf. Meine Frau ist vielleicht nicht verrückt nach meiner Rolle, aber ich liebe es, über Sicherheitstrends und die Arbeit, die ich jeden Tag mache, auf dem Laufenden zu bleiben.

Verwandter Inhalt

Sicherheit

Bewährte IT-Sicherheitspraktiken zum Schutz deines Unternehmens

Mehr erfahren
Einblicke in den Fernzugriff

Wie richte ich Secure Remote Access& Remote Support ein

Sicherheit

Die 10 wichtigsten Trends und Prognosen zur Cybersicherheit für 2024

Sicherheit

Verbessere Microsoft Intune mit Splashtop Autonomous Endpoint Management (AEM)

Alle Blogs ansehen
Erhalten Sie die aktuellsten Splashtop-Neuigkeiten
AICPA SOC icon
  • Compliance
  • Datenschutzerklärung
  • Nutzungsbedingungen
Copyright © 2024 Splashtop, Inc. Alle Rechte vorbehalten. Alle angegebenen Preise verstehen sich ohne anfallende Steuern.